返回
思科之acl访问控制协议.ppt

思科之acl访问控制协议.ppt

ID:48187970

大小:360.00 KB

页数:37页

时间:2020-01-15

思科之acl访问控制协议.ppt_第1页
思科之acl访问控制协议.ppt_第2页
思科之acl访问控制协议.ppt_第3页
思科之acl访问控制协议.ppt_第4页
思科之acl访问控制协议.ppt_第5页
资源描述:

《思科之acl访问控制协议.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、访问控制列表 (ACL)主要内容一、ACL的基本原理二、ACL的应用一、ACL的基本原理1、什么是ACL2、ACL是如何工作的3、创建ACL4、通配符掩码的作用5、验证ACL1、什么是ACLACL是应用在路由器端口上的一个列表,用于告诉路由器允许或禁止哪些流量通过。ACL是一个连续的允许和拒绝语句的集合,关系到地址和上层协议。ACL是应用在路由器接口的指令列表,这些指令告诉路由器哪些分组需要拒绝,哪些分组可以接收。拒绝和接收基于一定的条件。任何经过应用了ACL的接口的流量都要接受ACL中条件的检测。AC

2、L适用于所有的路由协议。路由器基于ACL中指定的条件来决定转发还是丢弃分组。ACL不能对本路由器产生的数据包进行控制。2、ACL是如何工作的ACL是一组语句,定义了分组的下列行为:1、进入入站路由器接口2、通过路由器转发3、流出出站路由器接口ACL语句按照逻辑次序顺序执行。如果与某个条件语句相匹配,则不再检查剩下的语句;如果都不匹配,则强加一条拒绝全部流量的暗含语句。(缺省情况下拒绝所有的流量)ACL的匹配性检查ACL语句能够实现:1、筛选出某些主机,允许或者拒绝它们访问你的网络的某一部分;2、允许或拒

3、绝用户访问某种类型的应用,例如FTP或HTTP等。3、创建ACL第一步:在全局配置模式下创建ACL标准ACL(ACL号码在1—99之间)扩展ACL(ACL号码在100—199之间)第二步:把ACL应用到某一个接口(出站接口或者入站接口)4、通配符掩码的作用通配符掩码是一个32比特的数字字符串,用点号分成4个8位组,每个8位组包含8个比特。在通配符掩码位中,0表示检查相应的位,1表示忽略相应的位。通配符掩码跟IP地址是成对出现的。在通配符掩码的地址位使用1或0表明如何处理相应的IP地址位。ACl通配符掩码

4、跟IP子网掩码的工作原理不同。通配符掩码位的匹配通配符any加入在ACL中允许访问任何目的地址时,使用通配符掩码表示为:0.0.0.0255.255.255.255简便地,可以使用通配符any替代,例如:access-list1permit0.0.0.0255.255.255.255access-list1permitany通配符host在ACL中想要与整个IP主机地址的所有位相匹配时,使用通配符掩码表示为:202.207.208.80.0.0.0简便地,可以使用通配符host替代,例如:access-

5、list1permit202.207.208.80.0.0.0access-list1permithost202.207.208.85、验证ACL使用如下命令验证:showipinterface查看端口是否应用了aclshowaccess-lists查看路由器的所有aclshowrunning-config查看所有的运行配置信息,包括acl的配置。二、ACL的应用1、ACL表号2、标准ACL3、扩展ACL4、命名ACL5、ACL的放置6、防火墙7、用ACL限制telnet访问1、ACL表号Cisco的I

6、OS为不同的协议分配了ACL表号,见下表:2、标准ACL标准ACL检查可以被路由的IP分组的源地址并且把它与ACL中的条件判断语句相比较。如果匹配,则执行允许(permit)或拒绝(deny)的操作。标准ACL可以基于网络、子网或主机IP地址允许或拒绝整个协议组(如IP)。标准ACL在全局配置模式下使用命令access-list来定义,并分配1-99之间的一个数字编号。将定义好的ACL应用到接口定义ACLin和out参数可以控制接口中不同方向的数据包,如果不配置该参数,缺省为out。标准ACL举例定义A

7、CL:access-list1deny172.16.1.1access-list1permit172.16.1.00.0.0.255access-list1deny172.16.1.10.0.255.255access-list1permit172.16.1.1.0.255.255.255应用到接口:ipaccess-group1inipaccess-group1out我们采用如图所示的网络结构。路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。在172.16.4.0/

8、24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。配置任务:禁止172.16.4.0/24网段中除172.16.4.13这台计算机访问172.16.3.0/24的计算机。172.16.4.13可以正常访问172.16.3.0/24。路由器配置命令access-list1permithost172.16.4.13设置ACL,容许172.16.4.13的数据包通过。access-list1denyany设置ACL,阻止其他

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。